UNIVERSIDAD DE SAN CARLOS DE GUATEMALA

Centro Universitario del Norte

Carrera de Contaduría Pública y Auditoría

AUDITORIA V

TIPOS DE AUDITORÍA INFORMÁTICA

Cobán, Alta Verapaz, mayo 2020

2
 UNIVERSIDAD DE SAN CARLOS DE GUATEMALA
Centro Universitario del Norte
Carrera de Contaduría Pública y Auditoría

LIC. JOSE ALFONSO BARRIOS

AUDITORIA V

TIPOS DE AUDITORÍA INFORMÁTICA

Por

Jenny Magaly Pop Chub 201642709

Cobán, Alta Verapaz, mayo 2020

2
 1

CAPÍTULO ÚNICO
Tipos de auditoría informática

Definición de auditoria

Auditoria es un proceso sistemático, que permite mediante la recolección de

evidencias, determinar la confiabilidad y calidad de la ejecución de las actividades
realizadas, en congruencia a los criterios de auditoria, requisitos, políticas y
procedimientos establecidos en la organización, para la toma de decisiones. Una
auditoría es una de las formas en las que se pueden aplicar diferentes métodos y
técnicas, con el objetivo de verificar procedimientos, bienes, la labor y beneficios
alcanzados por la empresa que solicita la auditoría. La auditoría intenta también
brindar pautas que ayuden a los miembros de una empresa a desarrollar
adecuadamente sus actividades, evaluándolos, recomendándoles determinadas cosas
y revisando detenidamente la labor que cada uno cumple dentro de la organización.

Auditoría Informática

La auditoría informática es una prueba que se desarrolla con carácter objetivo,

crítico, sistemático y selectivo con el fin de evaluar la eficacia y eficiencia del uso
adecuado de los recursos informáticos, de la gestión informática y si estas han
brindado el soporte adecuado a los objetivos y metas de una organización. Para esta
prueba existe un conjunto de conocimientos, normas, técnicas y buenas prácticas
dedicadas a la evaluación y aseguramiento de la calidad, seguridad, razonabilidad, y
disponibilidad de la información tratada y almacenada a través del computador y
demás dispositivos.
2

Así como de la eficiencia, eficacia y economía con que la administración de

la organización está manejando dicha información y todos los recursos físicos y
humanos asociados para su adquisición, captura, procesamiento, transmisión,
distribución, uso y almacenamiento. Esto en busca de emitir una opinión o juicio, para
lo cual se aplican técnicas de auditoria de general aceptación y conocimiento técnico
específico.

La Auditoría Informática deberá estar formada no sólo por la evaluación de

los equipos de cómputo, de un sistema o procedimiento específico, sino que además
habrá de evaluar los sistemas de información en general desde sus entradas,
procedimientos, controles, archivos, seguridad y obtención de información.

Auditoria de mantenimiento

El mantenimiento de sistemas informáticos consiste en realizar una

revisión y evaluación de todo el sistema informático, con el fin de establecer
políticas de seguridad, organización, documentación y mejora del rendimiento.
El mantenimiento de sistemas informáticos debe de gestionar muy bien el
mantenimiento preventivo persiguiendo el objetivo de minimizar el
mantenimiento correctivo.

Una auditoria de mantenimiento no es más que una fotografía

instantánea que se toma a una instalación o a un departamento de
mantenimiento para verificar dos condiciones:

a) El estado de una instalación (auditoría técnica).

b) La calidad de la gestión del mantenimiento (auditoria de gestión).

Las auditorías de mantenimiento son una herramienta de mejora en la

gestión del mantenimiento, que permite identificar todos aquellos puntos en los
que la gestión se aparta de un modelo de excelencia establecido para ese punto.
 3

a. Qué es una Auditoría de Mantenimiento

Realizar una auditoría de mantenimiento no es otra cosa que

comprobar cómo se gestiona cada uno de las trece áreas de gestión en que
puede dividirse el mantenimiento: personal, plan de mantenimiento
programado, gestión del mantenimiento legal, implantación de técnicas
predictivas, contratos de mantenimiento, gestión del mantenimiento
correctivo, gestión de medios técnicos, gestión del repuesto, implantación y
uso de procedimientos de trabajo, empleo del software de mantenimiento,
informes e indicadores, gestión de la prevención y resultados obtenidos. El
objetivo es conocer cómo se gestiona cada una de estas áreas en un
departamento de mantenimiento de una instalación, identificar puntos de
mejora y determinar qué acciones son necesarias para que la forma de
gestionarlas se asemeje a un estándar o modelo excelente.

b. Ventajas de la auditoría de mantenimiento

Ventajas económicas de la realización de auditorías de

mantenimiento:

1. El Seguro de los equipos se abarata y existe menos probabilidad

de tener averías.

2. La vida útil de la los equipos o sistemas aumenta.

3. En caso de venta de activos, siempre se encuentran en mejor

estado.

c. ¿Cómo elaborar una auditoría de mantenimiento?

Para que la auditoría de mantenimiento sea de calidad, se debe

evaluar principalmente los siguientes aspectos:

1. La estructura general del sistema informático.

4

2. Los recursos materiales, tales que equipos y sus características,

software instalado, así como los fines a los que están destinados.

3. Se realizan diagnósticos de rendimiento a nivel de servidores,

red y comunicaciones.

4. La seguridad.

5. Los posibles riesgos por falta de disponibilidad de algún

servicio.

d. El perfil del auditor

El auditor que lleva a cabo la auditoría de mantenimiento es siempre

un profesional bien de la plantilla o bien un auditor externo, pero siempre
ajeno al mantenimiento de la instalación, para garantizar su visión imparcial
y no contaminada por el día a día. La formación y experiencia con la deben
contar es la siguiente:

Deben ser profesionales que conocen bien el entorno de

mantenimiento, y preferiblemente ingenieros con más de diez años de
experiencia en mantenimiento industrial. Específicamente hay que huir de
profesionales del área de calidad o de otras no técnicas, pues a menudo
desconocen muchas de las singularidades de la actividad de mantenimiento.

Auditoría de base de datos

La auditoría de bases de datos se trata del análisis de las actividades de

seguimiento continuo de los controles que la administración ha establecido
dentro de los sistemas de bases de datos y todos sus componentes para obtener
una seguridad razonable de la utilización correcta de los datos que son
almacenados por los usuarios mediante los sistemas de información. El
monitoreo y pruebas a los controles determinan la pertinencia y suficiencia de
 5

éstos, logrando así ajustar, eliminar o implementar nuevos controles para

corroborar su adecuada utilización.

La palabra auditoría alude a la revisión y verificación de una

determinada actividad, en este caso relacionada con la información almacenada
en bancos de datos. Las bases de datos, como es bien sabido, se componen de
conjuntos de datos y están caracterizadas por una serie de rasgos, como la
independencia e integridad de los datos, las consultas complejas, respaldo y
recuperación, redundancia mínima o, entre otros, la seguridad de acceso y
auditoría.

La auditoría de base de datos, finalmente, es un proceso implementado

por los auditores de sistemas con el fin de auditar los accesos a los datos, por
lo general siguiendo bien una metodología basada en un checklist que
contempla los puntos que se quieren comprobar o mediante la evaluación de
riesgos potenciales.

a. ¿Qué es una auditoria de base de datos?

Es el proceso que permite medir, asegurar, demostrar, monitorear y

registrar los accesos a la información almacenada en las bases de datos
incluyendo la capacidad de determinar:

¿Quién accede a los datos?

¿Cuándo se accedió a los datos?

¿Desde qué tipo de dispositivo/aplicación?

¿Desde qué ubicación en la red?

¿Cuál fue la sentencia SQL ejecutada?

¿Cuál fue el afecto del acceso a la base de datos?

6

En la práctica, permite responder a muchas preguntas que pueden

resultar relevantes a la hora de controlar y auditar. Desde determinar quién
accede a los datos, cuándo se accedió o cuál es su ubicación en la Red y
desde qué dispositivo o aplicación lo hizo, hasta qué sentencia SQL fue
ejecutada, así como el resultado del acceso.

b. Importancia de la auditoria de base de datos

1. Toda la información financiera reside en bases de datos y deben existir

controles relacionados con el acceso a las mismas.

2. Se debe poder demostrar la integridad de la información.

3. Las organizaciones deben mitigar los riesgos asociados a la perdida de

datos y a la fuga de información.

4. La información confidencial de los clientes, son responsabilidad de las

organizaciones.

5. Los datos convertidos en información a través de bases de datos.

6. Las organizaciones deben tomar medidas mucho más allá de asegurar

sus datos.

En concreto, se realiza un examen de los accesos a los datos

almacenados en las bases de datos con el fin de poder medir, monitorear y
tener constancia de los accesos a la información almacenada en las mismas.
Si bien el objetivo puede variar en función de la casuística, en todos los casos
el fin último persigue, de uno u otro modo, la seguridad corporativa.

Una auditoría de base de datos, por lo tanto, facilita herramientas

eficaces para conocer de forma exacta cuál es la relación de los usuarios a la
hora de acceder a las bases de datos, incluyendo las actuaciones que deriven
en una generación, modificación o eliminación de datos.
 7

Realizar un seguimiento de estos eventos en la base de datos también

es un primer paso para llevar a cabo auditorías en las aplicaciones asociadas
a aquella. No en vano, el papel primordial que tienen los datos en las
organizaciones, su activo más valioso, obliga a controlar los pormenores de
su acceso.

En este sentido, la auditoría de base de datos es un control necesario,

cuya dificultad aumenta de forma paralela a la creciente complejidad de las
tecnologías de bases de datos. Así mismo, las amenazas de seguridad se han
multiplicado, apareciendo nuevos riesgos e incrementándose los ya
existentes, al tiempo que se amplía su alcance a través de la disciplina
conocida como Gestión de Recursos de Información.

Todas estas circunstancias han motivado la necesidad de nuevos

mecanismos de control y seguridad, al tiempo que se hace necesario recurrir
a personal cualificado que, por lo general, es externo. Aun así, la auditoría
representa un gran desafío, pues los sistemas aumentan su complejidad con
mayor rapidez que los procedimientos y tecnologías diseñadas para su
control.

Auditoría de seguridad informática

La auditoría de seguridad informática es un estudio profesional que

realizan expertos ajenos a la empresa con el objetivo de detectar las
vulnerabilidades de la implementación de tecnología en la estrategia de
negocio. También ofrecen soluciones para ganar en eficiencia, rentabilidad y
tranquilidad para los equipos de gestión.

Una auditoría de seguridad informática o auditoría de seguridad de

sistemas de información (SI) es el estudio que comprende el análisis y gestión
de sistemas llevado a cabo por profesionales para identificar, enumerar y
posteriormente describir las diversas vulnerabilidades que pudieran presentarse
8

en una revisión exhaustiva de las estaciones de trabajo, redes de

comunicaciones o servidores.

a. Importancia de la auditoria de seguridad informática

Las empresas que han tomado consciencia de la importancia de la

seguridad informática, saben que los beneficios también se presentan en la
imagen que la institución ofrece a los clientes y la sustentabilidad del
negocio.

b. ¿Qué es la auditoria de seguridad?

La auditoría de la seguridad es el estudio formado por el análisis y

gestión de sistemas para evaluar y corregir las distintas vulnerabilidades que
se pueden presentar. Para realizar una auditoría de la seguridad, se debe
realizar una planeación de esta; está se hace mediante los siguientes
procedimientos:

c. Identificación del Sistema

El sistema es toda la empresa en la que se realiza la auditoría, en

donde se evalúan a las personas y las aplicaciones para las cuales se utiliza
el sistema. Se debe tomar en cuenta las políticas de la empresa, lo cual es
esencial para el momento de la evaluación; es esta que pone de manifiesto
el tipo de control que se posee. Se identifica el sistema, la distribución de la
empresa; es decir la organización de las áreas en el sistema, las tareas que
poseen las personas que comprenden el sistema. Lo que se quiere es analizar
el modo en el que utilizan el sistema, elaborar una guía que muestre los
procedimientos en el manejo de los sistemas, identificar las personas que
están autorizadas a la administración de los sistemas informáticos. Esto es
posible mediante claves de acceso, de manera que se brinde seguridad en la
aplicación.
 9

d. Análisis de procesos y recursos

Consiste en identificar los procesos dependiendo del tamaño del

sistema, subprocesos, en base a los flujogramas que determinan el recorrido
de los procesos y de la información, esto es manejado por los
administradores de la red. Cuando se habla de recursos, se trata de los
componentes y dispositivos del sistema y las tareas que realizan estos.

e. Análisis de riesgos y amenazas

Se reconocen los riesgos que se presentan en el sistema, además el

riesgo de dispositivos y pérdida de recursos. Los dispositivos corren el
riesgo de dañarse, de ser robados, es así como puede ocurrir la pérdida de
información, y con ello, la integridad de los datos. Esto ocasiona que las
operaciones y procesos que se realizan sean ineficientes. En esta etapa se
procura verificar cuales son los errores que existen con el manejo de la
información.

Para identificar estos riesgos, se debe analizar las amenazas que se

presentan; luego verificar que amenaza a los equipos, los documentos
fuentes y primordialmente los programas de aplicación. Se relacionan los
recursos, los riesgos y las amenazas en el ambiente propio de trabajo.

f. Análisis y evaluación de controles

Se debe manejar a los grupos que utilizan los recursos, asignando a

cada grupo de acuerdo con los recursos que maneje. Debe haber uno o más
controles sobre los recursos, los riesgos y las amenazas. El análisis de los
controles procura evidenciar si los controles aplicados que el auditor
consideró necesarios brindan la seguridad requerida de los recursos.
10

g. Informes de la auditoría y recomendaciones

Cuando se identifica el tipo de sistema, red, recursos, las

aplicaciones, los riesgos, las amenazas; lo siguiente es realizar un informe
exaltando las partes débiles que amenazan la seguridad del sistema, la red,
los recursos y las aplicaciones.

h. Tipos de auditorías de seguridad informática se realizan

Dependiendo de los fines de nuestra auditoría, es posible contratar

profesionales externos con un objetivo concreto en su análisis informático.
Este puede ser:

1. Una auditoría forense

2. Auditorías de código

3. La auditoría web

4. Actualización de dispositivos

5. Hacking Ético

6. Auditoría de redes

7. Auditoría física

i. Estándares de Auditoría Informática y de Seguridad

Una auditoría se realiza con base a un patrón o conjunto de

directrices o buenas prácticas sugeridas. Existen estándares orientados a
servir como base para auditorías de informática. Uno de ellos es COBIT
(Objetivos de Control de la Tecnologías de la Información), dentro de los
objetivos definidos como parámetro, se encuentra el "Garantizar la
 11

Seguridad de los Sistemas". Adicional a este estándar podemos encontrar el

estándar ISO 27002, el cual se conforma como un código internacional de
buenas prácticas de seguridad de la información, este puede constituirse
como una directriz de auditoría apoyándose de otros estándares de seguridad
de la información que definen los requisitos de auditoría y sistemas de
gestión de seguridad, como lo es el estándar ISO 27001.

Auditoría de Redes

Las auditorías de seguridad de redes de comunicación permiten conocer

el estado en que se encuentra la protección de la información dentro de la
empresa. Se trata de realizar una evaluación y análisis de las debilidades
existentes en las medidas de seguridad que la empresa utiliza y los
componentes que se dedican a esta función.

Existen diferentes clasificaciones con las que se puede verificar que se

cumplen los requisitos de seguridad necesarios dentro de los dispositivos que
estén interconectados en la empresa.

Es el análisis llevado a cabo de manera exhaustiva, específica y

especializada que se realiza a los sistemas de redes de una empresa, tomando
en cuenta, en la evaluación, los tipos de redes, arquitectura, topología, sus
protocolos de comunicación, las conexiones, accesos privilegios,
administración y demás aspectos que impactan en su instalación,
administración, funcionamiento y aprovechamiento. Además, también la
auditoría de red toma en cuenta la revisión del software institucional, de los
recursos informáticos e información de las operaciones, actividades y
funciones que permiten compartir las bases de datos, instalaciones, software y
hardware de un sistema de red.
12

a. Importancia de la auditoria de redes

Esta clase de auditoría ha cobrado una importancia tal, que hoy en

día su aplicación es altamente demandada en casi todas las instituciones en
donde se realizan auditorías de sistemas.

Con la implementación de una auditoría a los sistemas de redes de

cómputo, se busca valorar todos los aspectos que intervienen en la creación,
configuración, funcionamiento y aplicación de las redes de cómputo, a fin
de analizar la forma en que se comparten y aprovechan en la empresa los
recursos informáticos y las funciones de sistemas; también se evalúan la
distribución de cargas de trabajo, la centralización de los sistemas de redes
computacionales y la repercusión de la seguridad, protección y salvaguarda
de información, personal y activos informáticos.

b. Características

Para realizar una auditoría de la red de una empresa, se propone

examinar las siguientes características:

1. Los objetivos de una red de cómputo.

2. Las características de la red de cómputo.

3. Los componentes físicos de una red de cómputo.

4. La conectividad y comunicaciones de una red de cómputo.

5. Los servicios que proporciona una red de cómputo.

6. Los sistemas operativos, lenguajes, programas, paqueterías,

utilerías y bibliotecas de

7. La red de cómputo.
 13

8. Las configuraciones, topologías, tipos y cobertura de las redes

de cómputo.

Las auditorías juegan un papel relevante ya que permiten mostrar el

estado en el que se encuentra la protección de la información y de los activos
dentro de las organizaciones. Además, involucra la identificación, análisis y
evaluación de debilidades en las medidas de seguridad que han sido
aplicadas, así como de los componentes tecnológicos de la empresa.

c. Tipos de evaluaciones de redes que existen

Nivel interno o externo

Las revisiones externas son aquellas que se realizan fuera del

perímetro de la red, incluyendo revisión de las reglas de Firewall,
configuración de IPS, control de acceso a los router. Por el contrario, las
revisiones dentro de la red a nivel interno revisan los protocolos usados, los
servicios desactualizados y la configuración de los segmentos de la red.

Red cableada o inalámbrica

Si la revisión se realiza sobre redes inalámbricas se evalúan los

protocolos de cifrado entre los puntos de acceso y los dispositivos que se
conectan a la red y las llaves de cifrado. Si, por el contrario, se trata de una
red cableada, habrá que comprobar la vulnerabilidad de los dispositivos
físicos o la suplantación de los puntos de acceso.

Física o lógica

La revisión física está orientada a conocer los mecanismos de

protección del cableado a nivel de hardware. Se puede decir que lo que se
hace en comprobar las normas ISO o ANSI del cableado y la revisión de las
conexiones. Por otro lado, la revisión de seguridad a nivel lógico se basa en
verificar y evaluar las medidas de protección de los procesos y de la
14

información. Por ello, al auditar a nivel lógico se deben comprobar los

mecanismos de control de acceso a la red, los privilegios de las cuentas con
autorización y los protocolos usados.

Auditoría técnica o de cumplimiento

Las revisiones técnicas incluyen información acerca de los

dispositivos y protocolos utilizados, para identificar y corregir debilidades.
Todo esto se hace simulando ataques en ambientes controlados. Las
revisiones de cumplimiento permiten conocer la familiarización de las
empresas con la protección de sus redes, sus estándares de seguridad y los
requisitos que deben cumplir.

Las empresas no siempre conocen hasta donde llegan sus debilidades

y cómo pueden atajarlas. De ahí viene la finalidad de que existan diferentes
tipos y propósitos de la auditoría de redes de comunicación, pues hay miles
de maneras de atacar un sistema. Ahora ya solo queda la mentalización e
implicación de los organismos más altos para evitar que los ataques
empapen negativamente sus negocios y que se pueden evitar contacto con
una empresa de ciberseguridad profesional.

Auditoría jurídica de entornos informáticos

La auditoría jurídica forma parte fundamental de la auditora

Informática, su objeto es comprobar que la utilización de la informática se
ajusta a la legislación vigente. Esta auditoría es esencialmente importante para
evitar posibles reclamaciones de cualquier clase contra el sujeto a auditar,
como entorno a los programas y soporte físico que sirven de receptáculo a la
información.
 15

a. Importancia

La auditoría Jurídica es importante para evitar posibles

reclamaciones de cualquier clase contra el sujeto a auditar. Por ello el trabajo
del auditor es la medida preventiva idónea contra sanciones en el orden
administrativo o incluso penal, así como la indemnización en el orden civil
por daños y perjuicios a los afectados y ello lo referimos tanto a las
Administraciones Publicas como a las empresas privadas.

b. Relación de la informática con algunas disciplinas jurídicas

Entorno jurídico de la auditoria de los sistemas de información

1. Con el Derecho Internacional Público

2. Derecho Internacional Privado

3. Con el derecho Constitucional

4. En el campo del Derecho Administrativo

5. En el ámbito de la ciencia del Derecho Penal

6. En Derecho Civil

7. En el Derecho Mercantil

8. En el Derecho Laboral

9. Finalmente, en el Derecho Procesal

c. Derecho informático

Se define como un conjunto de principios y normas que regulan los

efectos jurídicos nacidos de la interrelación entre el derecho y la informática.
16

d. Diferencias del derecho informático con la informática jurídica

Derecho Informático se define como un conjunto de principios y

normas que regulan los efectos jurídicos.

La informática jurídica estudia el tratamiento automatizado de: las

fuentes del conocimiento jurídico a través de los sistemas de documentación
legislativa, jurisprudencial y doctrinal.

e. Informática jurídica

Conjunto de conocimientos científicos y técnicas que hacen posible

el tratamiento automático de la información por medio de ordenadores.

f. Derecho de internet

Derecho que puede ir al paso del avance tecnológico.

g. Contratos informáticos

Cuando la prestación u objeto del contrato es de proveer hardware o

software o cualquier actividad relacionada con proveer insumos
informáticos.

Contrato de servicios de banda electrónica

1. Nace una nueva forma de criminalidad

2. Causas

3. Familiares

4. Sociales
 17

h. Fundamentos legales conforme a la norma jurídica guatemalteca

Ley de Emisión Del Pensamiento

El Decreto Número nueve, Ley de Emisión del Pensamiento, ley

de carácter constitucional, regula específicamente el derecho a que todo
ciudadano guatemalteco pueda manifestar sus opiniones, pensamientos
y expresiones.

Ley de Derecho de Autor y Derechos Conexos

En Guatemala, también existe el Decreto Número 33-98, que

contiene la Ley de Derecho de Autor y Derechos Conexos, ley que
consta de 139 Artículos y que fue promulgada el 19 de mayo de 1998,
siendo una ley de orden público y de interés social, que tiene por objeto
la protección de los derechos de los autores de obras literarias y
artísticas.

Código Penal

En materia penal, también dentro del Decreto Número 17-73,

Código Penal, en nuestro país se ve la necesidad de apegarse a la
realidad, por lo que el mismo fue reformado por el Decreto Número 33-
96, quedando el Capítulo VII de la siguiente forma: De los Delitos contra
el derecho de autor, la propiedad industrial y delitos informáticos.

Violación a derechos de autor y derechos conexos

Artículo 274 del Código Penal: Salvo los casos de excepción

contemplados expresamente en las leyes o tratados sobre la materia de
los que Guatemala sea parte, será sancionado con prisión de uno a cuatro
años y multa de un mil a quinientos mil quetzales.
 REFERENCIAS BIBLIOGRÁFICAS

--------. https://es.scribd.com/document/142451224/Tipos-de-Auditoria-en-Mantenimiento

--------. https://es.slideshare.net/GRECIAGALLEGOS/auditoria-de-base-de-datos-49000632

--------. https://www.academia.edu/16555035/Auditor%C3%ADa_de_base_de_datos

---------- -https://es.wikipedia.org/wiki/Auditor%C3%ADadeseguridad_sistemas_de_informacin

--------. https://es.slideshare.net/kaztro93/auditora-de-redes-9931011